Java : nouvelle vulnérabilité dans les airs, les précédentes toujours exploitées

En dépit des nombreuses rustines appliquées par Oracle à Java, son environnement d'exécution recèlerait toujours des vulnérabilités critiques. Les récentes intrusions constatées chez Apple, Facebook ou Microsoft, illustrent par ailleurs la nécessité de procéder sans délai à l'installation des dernières mises à jour du logiciel.

Java une nouvelle fois dans la tourmente ? Les chercheurs en sécurité de la firme polonaise spécialisée Security Explorations ont indiqué lundi avoir découvert deux nouvelles failles au sein d'une version à jour de Java SE 7. Ils affirment avoir communiqué les modalités d'exploitation de ces vulnérabilités à Oracle. L'éditeur a accusé réception, mais n'a pour l'instant pas commenté la portée de leurs travaux. Selon ces chercheurs, l'utilisation combinée de ces deux failles permettraient de complètement contourner le système de bac à sable (sandbox) de Java et donc de faire remonter du code malveillant au sein de la machine ciblée.

Les détails techniques n'ont pour l'instant pas été révélés, afin d'éviter que ces failles ne soient exploitées. « Elles permettent de détourner l'API Reflection d'une façon particulièrement intéressante », indique tout de même Adam Gowdiak, p-dg de Security Explorations, auprès du site Softpedia. Cette interface de programmation permet à un code Java de demander la modification de certains des paramètres de son environnement d'exécution. « Sans entrer plus avant dans les détails, tout indique que la balle est désormais dans le camp d'Oracle. Encore. », commente l'intéressé.

Le cycle de mise à jour d'Oracle prévoit normalement que la prochaine fournée de correctifs dédiés à Java soit mise en ligne le 16 avril prochain. L'éditeur pourrait toutefois décider d'anticiper la distribution d'une rustine si cette vulnérabilité était confirmée.

En attendant, les intrusions dont Microsoft, Apple et Facebook ont tous confirmé avoir été victimes découleraient bien de l'exploitation des vulnérabilités précédemment découvertes dans Java. Celles-ci font d'ailleurs l'objet de nouveaux procédés d'exploitation, dont l'un a encore été documenté lundi.

De nouvelles informations ont par ailleurs fait surface quant à la façon dont des postes informatiques ont pu être infectés à la fois chez Apple, Microsoft et Facebook. D'après Arstechnica, qui reprend une hypothèse précédemment défendue par RSA Security, les auteurs de l'attaque auraient en réalité commencé par infecter un forum Web fréquenté par des développeurs travaillant sous Mac (iphonedevdsk.com, qu'il vaut mieux ne pas visiter sur une machine munie d'une version non à jour de Java...), selon la tactique dite du waterhole. Plutôt que de s'en prendre directement à une cible donnée, l'idée consiste ici à distribuer l'infection à partir d'un point d'intérêt susceptible d'attirer les publics chez qui l'on souhaite s'introduire.

Sur Windows comme sur Mac, les internautes qui disposent d'une installation de la machine Java sur leur machine ont en tous les cas intérêt à vérifier plutôt deux fois qu'une que les composants sont à jour (les derniers correctifs datent du 19 février), voire à la désinstaller s'ils n'en ont pas un besoin immédiat.